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Verfahren ziim Vermeiden von fehlerhaften Aktuatorzugrif f en 
in einem multifunktionalen elektronischen Gesaxntregelungs* 
system 

Die Erfindung bezieht sich auf ein Verfahren zum Vermeiden 
von fehlerhaften Aktuatorzugrif fen in einem multifunktiona- 
len elektronischen Gesamtregelungssystem, bei dem die Aktua- 
torzugrif fsanforderungen von verschiedenartigen Systemdiens- 
ten ausgehen. Das Verfahren ist insbesondere fur Fahrzeugre- 
gelungssys teme geeignet . 

Es sind bereits komplexe Kraf tf ahrzeugregelungssysteme be- 
kannt, die mehrere Funktionen, wie Antiblockierschut z (ABS) , 
Anfahrschlupf regelung (ASR) , Fahrstabilitatsregelung (ESP) , 
elektrische Uber lager ungslenkung, Bremsassistent , System- 
oder Komponentendiagnose usw. vereinen. Es besteht der 
Wunsch, diese und weitere Funktionen und Hilf sf unkt ionen, 
wie Uberwachung, Fehlersignalisierung, Reif endruckuberwa- 
chung etc., ebenfalls mit Hilfe eines gemeinsamen elektroni- 
schen Systems zu steuern. Die verschiedenen Funktionen und 
Hilf sf unktionen werden dabei zum grolien Teil mit Hilfe der- 
selben Aktuatoren, wie Druckregelventilen, Hydraulikpumpen, 
Warnlampen etc., ausgefuhrt oder vorbereitet. Die Zugriffe 
zu den einzelnen Aktuatoren konnen dabei durchaus gleich- 
zeitig erfolgen. Dies fuhrt verstandlicher Weise zu Konflik- 
ten, Ein Zugriff zu einem Aktuator durch ein Regelungssystem 
Oder einen Regelungsbef ehl untergeordneter Bedeutung anstel- 
le eines z.B. aus Sicherheitsgrunden momentan wichtigeren 
Befehls muss verhindert werden. 

Der vorliegenden Erfindung liegt daher die Aufgabe zugrunde 
sicherzustellen, dass in einem komplexen System der vorge- 
nannten Art bei konkurrierenden Aktuatorzugrif fsanforderun- 



gen kein " f ehlerhaf ter " , nicht berechtigter Zugriff zu ei- 
nem Aktuator erfolgt. "fehlerhaft" ist dabei ein Zugriff 
durch eine Anforderung, die momentan unerwunscht ist, weil 
eine Arbit rierungsart gefordert wird, die in der aktuellen 
Betriebsphase nicht zulassig ist (z.B. eine Diagnosemafinahme 
wahrend der Fahrt) oder aus zahlreichen anderen Grunden. 

Es hat sich herausgestellt , dass diese Aufgabe durch das im 
Anspruch 1 beschriebene Verfahren gelost warden kann, dessen 
Besonderheit darin besteht, dass in das System eine Rechte- 
verwaltung, die bei einer Aktuatorzugrif f sanf orderung die 
Berechtigung des Systemdienstes zur Anderung der momentanen 
Betriebsart des Gesamt regelungssystems feststellt, eine Be- 
triebsartensteuerung und eine Zugriff sverwaltung eingefugt 
werden, dass die Rechteverwaltung bei einer Zugriff sanf orde- 
rung durch einen Systemdienst unter Berucksichtigung der mo- 
mentanen Gesamtbetriebsart des Gesamtregelungssystems eine 
Einstellung oder einen Wechsel der Betriebsart nach vorgege- 
benen Regeln herbeifuhrt und die aktuelle Betriebsart der 
Zugriff sverwaltung meldet, und dass die Zugrif fsverwaltung in 
Abhangigkeit von der gemeldeten Gesamtbetriebsart eine Aktu- 
atorbetatigung nur durch den "berechtigten" Systemdienst zu- 
lasst und die Aktuator zugrif f sanf orderungen der Systemdiens- 
te nach vorgegebenen Arbitrationsregeln verarbeitet. 
Erf indungsgema(i wird also in das elektronische Steuersystem 
eines multif unktionalen Gesamtregelungssystems eine zusatz- 
liche Rechte- und Zugrif fsverwaltung integriert, die dazu 
ffihrt, dass nur die in der jeweiligen Betriebsart "erwunsch- 
ten'\ festen vorgegebenen Regeln entsprechende Zugrif fsan- 
forderungen der verschiedenen oder verschiedenartigem Sys- 
temdienste zum Aktuator durchgelassen werden. Den z.B. aus 
Sicherheitsgrunden vorzuziehenden Aktionen wird von der 
Zugri f fsverwaltung Vorrang oder Prioritat eingeraumt. 
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Durch die erf indungsgemafte Rechte- und Zugrif f sverwaltung 
wird es moglich, Basisf unktionen und Hilfs- oder Fremdfunk- 
tionen in einem System zu integrieren, ohne die Basisfunkti- 
onen zu gefahrden. Durch die Rechte- und Zugrif f sverwaltung 
wird verhindert, dass z.B. durch einen " f ehlerhaf ten" , nicht 
berechtigten Zugriff auf einen Aktuator eine Bremsbe- 
tatigungsanf orderung, die aus Sicherheitsgrunden Vorrang ha- 
ben muss, nicht mehr durchgeschaltet werden kann. Die Erfin- 
dung macht es also erst moglich, dass zahlreiche wichtigere 
und - je nach Situation bzw. Betriebsart - weniger wichtige 
Funktionen integriert werden konnen. 

Nach einem vorteilhaf ten Ausf uhrungsbeispiel des erfindungs- 
gemalien Verfahrens werden die Aktuatorzugrif f anf orderungen 
der Systemdienste in einem Speicher erfasst und nach Ar- 
bitrationsarten getrennt zur Zugrif f sverwaltung weitergelei- 
tet. 

Eine besonders vorteilhafte Ausf uhrungsart der Erfindung be- 
steht, dass die zu einem Aktuator durchgelassene, von einem 
Systemdienst ausgehende Aktuator zugrif fsanforderung durch 
zweistufige Arbitration, namlich durch eine "vertikale" und 
eine "horizontale" Arbitration, bestimmt wird. 

Nach einem weiteren Ausf uhrungsbeispiel der Erfindung werden 
in der Zugr i f f sverwaltung in einem ersten Schritt die nicht 
berechtigten Zugrif fsanf orderungen in Abhangigkeit von der 
gemeldeten, aktuellen Gesamtbetriebsart ermittelt, elimi- 
niert oder zuruckgewiesen werden. In einem zweiten Schritt 
wird durch vertikale Arbitration eine Bewertung und Auswahl 
der berechtigten Zugrif fsanf orderungen nach vorgegebener 
Rangfolge der Arbi trationsarten durchgef uhrt , wobei einem 
"Stromsignal " hohere Prioritat als einem "Drucksignal " und 
einem "EIN/AUS-Signal" hohere Prioritat als einem Stromsig- 
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nal zugemessen werden. Schliefilich erfolgt in einem dritten 
Schritt: durch horizontale Arbitration eine Bewertung und 
Auswahl der in dem zweiten Schritt ermittelten Zugriffsan- 
forderungen nach Prioritat des Signals, mit dem der ausge- 
wahlte Systemdienst den Aktuator ansteuern will. 

Es ist zweckmaliig, die Rechte der Systemdienste zur Anderung 
der Betriebsart in einem Festwertspeicher , auf den die Rech- 
teverwaltung Zugriff hat, z.B. in Form einer Tabelle, fest- 

zuhalten. 

Wird das er f indungsgemaBe Verfahren bei einem Gesamtrege- 
lungssystem fur Kraf t f ahrzeuge angewendet, das als Basissys- 
tem eine Bremsanlage (EHB, EMB) enthalt, werden als System- 
dienste, von denen Aktuatorzugrif f sanf orderungen ausgehen, 
die Basisbremsf unktionen (BBF) , Radschlupf regelungsf unktio- 
nen (wie ABS, ASR (TCS) , ESP) , Diagnosef unktionen (DIAG), 
Motorpumpenregelungensysteme (MPA) und Schnittstellen (BUS) 
erfasst und durch die Rechteverwaltung in Verbindung mit der 
Zugrif f sverwaltung kontrolliert . 

Es konnen noch weitere Systemdienste, wie "Fremdsof tware" , 
(CSW) "Lenkungsf unktionen" (Lenk) etc., in das Gesamtsystem 
integriert werden . 

Bei einem Gesamt regelungssys tern fur Kraf tf ahrzeuge wird vor- 
teilhafter Weise in der Bet r iebartensteuerung zumindest zwi- 
schen den Betr iebsarten "Normalbetrieb" , der sich nach Been- 
digung der Startphase beim Ausbleiben einer Fehlermeldung 
einstellt, der Betriebsart "Startphase", die z.B. bis zum 
Ablauf einer vorgegebenen Zeitspanne, bis zum erstmaligem 
Erreichen einer Mindestgeschwindigkeit und/oder bis zum Ab- 
schluss von anfanglichen Priifroutinen gilt, der Betriebsart 
"Hiaqnose", der Betriebsart "Fremdsof tware" , die bei einer 
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Aktuatorzugrif f sanf orderung durch ein Fremd- oder Hilfssys- 
tern ausgelost wird, und der Betriebsart "Failsafe", die auf 
das Vorliegen einer Fehlermeldung hinweist , unterschieden , 

Weitere Merkmale, Vorteile und Anwendungsmoglichkeiten der 
Erfindung gehen aus der folgenden Beschreibung von Einzel- 
heiten eines Ausf uhrungsbeispiels anhand der beigefugten 
Zeichnung hervor. Es zeigen 

Fig. 1 in schemat ischer Darstellung Funktionselemente eines 

elektronischen Gesamt regelungssystems zur Ausfuhrung 
des erf indungsgemalien Verfahrens und 

Fig. 2 ebenfalls in schematischer Darstellung einen Teil des 
Gesamtregelungssystems nach Fig. 1 zur Veranschauli- 
chung der Funktionsweise der Zugrif f sverwaltung . 

Das im folgenden als vereinf achtes Beispiel beschriebene Ge- 
samt regelungssystem ist fur ein Kraf t f ahr zeug mit einer kom- 
plexen Bremsanlage, wie einem elektrohydraulischen Bremsen- 
system (EHB) vorgesehen, das mit Systemen und Funktionen un- 
terschiedlicher Art, wie Bremsassistent , Geschwindigkeits- 
oder Abstandregelungssystemen, Diagnosesystemen, Lenksyste- 
men (z.B. Uberlagerungslenkung) etc. zusammenarbeiten kann. 
Das Bremsensystem, einschliefilich der zugehorigen Regelungs- 
systeme und -funktionen ABS, ASR, ESP etc. wird als Basis- 
system betrachtet, die ubrigen Systeme oder Funktionen als 
Fremd- oder Hil f ssysteme . 

In Fig. 1 werden die Dienste, von denen Aktuatorzugrif fsan- 
forderungen ausgehen, die nach dem erf indungsgemaBen Verfah- 
ren "verwaltet", d.h. auf ihre Berechtigung gepruft werden, 

durch emen Funk t ionsblock 1 symbolisch dargestellt. In dem 
hier beschriebenen Ausf uhrungsbeispiel nach der Erfindung 
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handelt es sich, wie in 1 angedeutet, im wesentlichen urn die 
f olgende Dienste : 

BBF bezeichnet die Basisbremsf unktion, die z.B. bei Brake- 
By-Wire-Systemen (EHB; EMB) auch in Standards! tuatio- 
nen elekt ronische Steuerung verlangt; 
ABS, ASR(TCS), ESP sind unter diesen Abkurzungen bekannte 

Regelungsf unktionen; 
DIAG bezeichnet Diagnose f unktionen; 

MPA ist die Bezeichnung fur ein Motorpumpenaggregat , vom 
dem ebenfalls Aktuatorzugrif f sanf orderungen ausgehen; 

CSW symbolisiert Fremd- Oder Hilf ssysteme (CSW = Customer 
Software) ; 

BUS bezeichnet eine Schnittstelle, wie CAN-Bus, uber die 
u.a, auch Zugriff sanf orderungen von Zubehorf unktionen 
Oder von Fremdsystemen (CSW) geleitet werden; 

Lenk bezeichnet Lenksysteme, wie Uberlagerungslenkungen . 

Zugriff sanf orderungen von Abs tandsregelungssystemen (ACC) , 
Geschwindigkeitsregelungssystemen (Tempomat) etc. konnen e- 
benfalls uber den Systemdienst "BUS", uber die Schnittstelle 
CSW Oder uber einen weiteren Systemdienst mit eigener Iden- 
titat (ID) in das Gesamtregelungssystem integriert werden. 

Die von den Systemdiensten 1 ausgehenden Aktuatorzugrif fsan- 
forderungen werden in einer Rechteverwaltung 2 auf Zulassig- 
keit Oder Berechtigung in der aktuellen Situation, d.h. in 
der momentanen Betriebsart (Gesamtbetriebsart ) , uberpruft. 
Hierzu dient eine Ruckmeldung aus einer Betriebsartensteue- 
rung 3. 

Jeder Dienst wird durch seine ID eindeutig erkannt. Als Be- 
triebsarten, die un terschiedl iche Reaktionen verlangen, sind 
beispielsweise die folgenden von Bedeutung: 
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"Normal" "Normal-Betrieb" ist z.B. nach langerer Be- 

triebszeit eines Kraf t f ahrzeugs ohne Fehler- 
meldung gegeben; 

"Start-Phase" gilt z.B. solange die einzelnen Systeme noch 

nicht voll in Funktipn sind oder Routine- 
uberpruf ungen noch nicht abgeschlossen sind; 

"Diagnose" diese Betriebsart herrscht z.B. in der Werk- 

statt Oder in der Startphase des KFZ wahrend 
des Ablaufs von Pruf routinen; 

"CSW" Fremdsof tware : diese Betriebsart wird z.B. 

eingestellt, wenn die ID des den Zugriff an- 
fordernden Systemdienstes erkennen lasst^ 
dass die Anforderung nicht von einer Basis- 
funktion, sondern von einer Zubehor- bzw. 
Hilf sf unktion oder "Fremdf unktion" stammt; 

"Failsafe" im System wurde ein Fehler erkannt, der' Be- 

triebseinschrankungen zur Folge hat. 



Die Regeln zur Beurteilung der "Berecht igung" in Abhangig- 
keit von dem identif izierten Systemdienst und von der aktu- 
ellen Betriebsart (Gesamtbetriebsart ) sind fest vorgegeben. 
Die Regeln sind, wie Fig. 1 zeigt, in dem beschriebenen 
Ausf uhrungsbeispiel der Erfindung in einem Festwertspeicher 
3, z.B. tabellarisch, f estgehalten . 



Die Zugriff sanforderung des jeweiligen Systemdienstes 1 wird 
von der Rechteverwal tung 2 sofort abgelehnt oder ignoriert, 
wenn in der aktuellen Gesamtbetriebsart keine Berechtigung 
zu der Aktuatorzugriff sanforderung gegeben ist. Wenn die 
Anforderung in der aktuellen Betriebsart "berechtigt" ist, 
wird durch die Betriebsartensteuerung 4, falls erf orderlich, 
e:r: Wechsel der Betriebsart des Gesamt regelungssyst ems her- 
br-igef Uhrt . Die aktuelle Betriebsart wird einer Zugriff sver- 
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waltung 6 gerneldet; aufierciem erfolgt eine Ruckmeldung an die 
Rech teverwal tung 2 . 

Die Aktuatorzugrif f sanf orderungen der einzelnen Systemdiens- 
te 1 warden uber die Signalwege SDl bis SDn, gleichzeitig 
mit der Rechteiiberpruf ung in der Rechteverwaltung 2, uber 
einen Zwischenspeicher 5 der Zugrif f sverwaltung 6 zugefuhrt, 
die nach vorgegebenen Regeln durch Arbitration gesteuert 
festlegt, welche Aktuatorzugrif f sanf orderung der System- 
dienste 1 in der aktuellen Betriebsart tatsachlich bis zu 
einen Aktuator 7 durchgelassen wird. Alle anderen Anforde- 
rungen warden ignoriert oder wegen "fehlender Berechtigung" 
zuruckgewiesen; die Akzeptanz und/oder die "Ablehnung" der 
Anf orderung wird den Systemdiensten 1 zuruckgemeldet . 

Wie Fig. 2 veranschaulicht , werden in dem Zwischenspeicher 5 
die Aktuatorzugrif fsanforderungen nach Arbitrationsarten, 
d.h. nach Signalen gleicher physikalischer Einheit (hier: 
Druck "p\ Strom "I" oder EIN/AUS-Signal *'E/A")/ sortiert 
und zur Zugrif f sverwaltung weitergeleitet . 

In der Zugrif f sverwaltung 6 werden in einem ersten Schritt 
die in der aktuellen Gesamtbetriebart "nicht berecht igten" 
Anf orderungen zuruckgewiesen oder eliminiert. Sodann findet 
eine zweistufige Arbitration der verbliebenen Aktuator- 
zugrif fsanforderungen statt. In einer ersten Stufe, symboli- 
siert durch einen Block 8 in Fig. 2, werden die "berechtig- 
ton" Anforderungen nach vorgegebener Rangfolge oder Priori- 
tatsrang der einzelnen Arbitrationsarten bewertet; dies wird 
als "vertikale" Arbitration bezeichnet. 

Anschliel3end wird in einem zweiten Schritt oder einer zwei- 

"-en Stufe 9 durch "horizontale" Arbitration eine Bewertung 
d'ir verbieibenden Anforderungen gleicher Arbitra t ionsar t ge- 



) ) 

- 9 - 

troffen und festgelegt, welche der Aktuatorzugrif f sanf orde- 
rungen tatsachlich bis zu dem Aktuator 7 durchgelassen wird. 
Symbolisiert durch einen Umschalter 10 wird das Ausgangssig- 
nal der Stufe 9 - je nach Arbitrat ionsart , d.h. hier "Druck", 
"Strom" Oder "EIN/AUS"-Signal - direkt Oder nach Weiterver- 
arbeitung in einem Druckregler 11 und/oder in einem -Strom- 
regler 12 zu dem Aktuator 6 wei tergeleitet . 9 

In dem hier beschriebenen Ausf uhrungsbeispiel der Erfindung 
ist der Aktuator 7 eine Spule, z.B. die Ventilspule eines 

Bremsdrucksteuerventils . Ein Befehl oder Signal der Einheit 
Oder Dimension "EIN/AUS" fQhrt unmittelbar zur Reaktion des 
Ventils. Dem "EIN/AUS"-Signal wird daher im Sinne der hori- 
zontalen Arbitration die "hochste" Prioritat eingeraumt. 
Ein Signal der Einheit oder Dimension "Strom" muss dagegen 
zunachst in einem Stromregler 12 (siehe Fig. 2) ausgewertet 
und in einen "EIN/AUS"-Bef ehl umgewandelt werden. Eine 
Druckanderungsanf orderung, also ein Signal der Dimension 
"Druck", muss zunachst in einem Druckregler 11 in eine 
Stromanderungsanf orderung und danach mit Hilfe des Stromreg- 
lers 12 in ein Aktuatorbetatigungssignal bzw. in ein 
"EIN/AUS"-Signal gewandelt werden. Ein Signals der Dimension 
"Strom" geniefit daher im vorliegenden Ausf uhrungsbeispiel 
eine hohere Prioritat als ein Signal der Dimension "Druck", 
Bei konkurrierenden Signalen der Dimension "Druck", "Strom" 
und "EIN/AUS" gelangt das E/A-Signal zur Ausfuhrung; fehlt 
ein E/A-Signal, wird das Strom-Signal vorgezogen. 

Die Zugrif f sverwaltung 6 selektiert die Aktuatorzugrif f san- 
forderungen nach vorgegebenen Regeln in Abhangigkeit von der 
aktuellen Betriebsart. Beispielsweise sind in der Betriebs- 
art "Normal" nur Druck-Sollwertanf orderungen "rechtmafiig" 
und werden ausgewertet; andere Anf orderungen werden von der 
Zi:gri if sverwaltung 5 zuruckgewiesen oder ignoriert. In der 
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Betriebsart " Fremdsof tware" (CSW) sind nur Stellbefehle bzw. 
Aktuatorzugrif f sanforderungen in Form von Drucksignalen er- 
laubt. In der Betriebsart "Diagnose" sind Stellbefehle in 
Form von Stromsignalen oder Ventil-Schaltbef ehlen, nicht je- 

doch von Drucksignalen zulassig. In der Betriebsart "Failsa- 
fe" sind nur Akt uatoranf orderungen, die von dem . Kernsystem 
ausgehen, zu dem vor allem die sicherheitskritischen System- 
dienste gehoren, nicht jedoch Aktuatoranf orderungen von Zu- 
behorsystemen, Hilf ssystemen oder Fremdsystemen (CSW) 
"rechtmaliig" . 

Dies sind nur relativ einfache Beispiele. Fine Vielzahl wei- 
terer Vorgaben lasst sich mit Hilfe der Zugrif f sverwaltung 6 
in Verbindung mit der Rechteverwaltung 2 (3) realisieren. 
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Patentanspriiche : 

1. Verfahren zum Vermeiden von fehlerhaften Aktuator- 
zugriffen in einem multif unktionalen elektronischen Ge- 

samtregelungssystem, bei dem die Aktuatorzugrif f sanf or- 
derungen von verschiedenen oder verschiedenart igen Sys- 
temdiensten (1) ausgehen, dadurch gekennzeichnet, dass 
in das System eine Rechteverwaltung (2), die bei einer 
Aktuatorzugrif f sanf orderung die Berechtigung des Sys- 
temdienstes (1) zur Anderung der momentanen Betriebsart 
des Gesamtregelungssystems feststellt, eine Betriebsar- 
tensteuerung (4) und eine Zugrif f sverwal tung (6) einge- 
fiigt warden, dass die Rechteverwaltung (2) bei einer 
Zugrif f sanf orderung durch einen Systemdienst (1) unter 
Beriicksichtigung der momentanen Gesamtbetriebsart des 
Gesamtregelungssystems eine Einstellung oder einen 
Wechsel der Betriebsart nach vorgegebenen Regeln her- 
beifiihrt und die aktuelle Betriebsart der Zugriffsver- 
waltung (6) meldet, und dass die Zugrif fsverwaltung (6) 
in Abhangigkeit von der gemeldeten Gesamtbetriebsart 
eine Aktuatorbetatigung nur durch den "berechtigten" 
Systemdienst (1) zulasst und die Aktuatorzugrif f sanf or- 
derungen der Systemdienste (1) nach vorgegebenen 
Arbit rat ions regeln verarbeitet . 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass 

die Aktuatorzugrif fanforderungen der Systemdienste (1) 
in einem Speicher (5) erfasst und nach Arbitrat ionsar- 
ten sortiert zur Zugrif fsverwaltung (6) weitergeleitet 
werden . 

3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeich- 
net, dass die zu einem Aktuator (7) durchgelassene, von 
einem Systemdienst (1) ausgehende Aktuator zugri ffsan- 
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forderung durch zweistufige Arbitration, namlich durch 
eine "vertikale" und eine "horizontale" Arbitration, 
bestimmt wird. 

Verfahren nach einem oder mehreren der Anspruche 1 bis 
3 2, dadurch gekennzeichnet, dass in der Zugriffsver- 
waltung (6) in einem ersten Schritt die nicht berech- 
tigten Zugrif f sanforderungen in Abhangigkeit von der 
gemeldeten, aktuellen Gesamtbetriebsart ermittelt, eli- 
miniert oder zuriickgewiesen werden, dass in einem zwei- 
ten Schritt durch vertikale Arbitration eine Bewertung 
und Auswahl der berechtigten Zugrif f sanforderungen nach 
vorgegebener Rangfolge der Arbitrat ionsarten durchge- 
fuhrt wird, wobei einem "Stromsignal" hohere Prioritat 
als einem "Drucksignal" und einem "EIN/AUS-Signal" ho- 
here Prioritat als einem "Stromsignal" zugemessen wird, 
und dass in einem dritten Schritt durch horizontale 
Arbitration eine Bewertung und Auswahl der in dem 
zweiten Schritt ermittelten Zugrif f sanforderungen nach 
Prioritat des Signals fur die Ansteuerung des Aktuators 
(7) erfolgt. 

Verfahren nach einem oder mehreren der Anspruche 1 bis 

4, dadurch gekennzeichnet , dass die Rechte der Be- 
triebsdienste (1) zur Anderung der Betriebsart in einem 
Festwertspeicher (3), auf den die Rechteverwaltung (2) 
Zugriff hat, festgehalten werden. 

Verfahren nach einem oder mehreren der Anspruche 1 bis 

5, dadurch gekennzeichnet, dass bei einem Gesamtrege- 
lungssystem fur Kraf tf ahrzeuge, das als Basissystem ei- 
ne Bremsanlage {EHB,EMB) enthalt, als Systemdienste (1), 
von denen die Aktuatorzugri f f sanforderungen ausgehen, 
die Basisbremsf unkt ionen (BBF) , Radschlupf regelungs- 
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funktionen (wie ABS, ASR (TCS) , ESP) , Diagnosef unktionen 
(Diag), Motorpumpenregelungensysteme (MPA) und Schnitt- 
stellen (BUS) erfasst und durch die Rechteverwaltung (2) 
in Verbindung mit der Zugrif f sverwaltung (5) kontrol- 
liert werden. 

Verfahren nach einem oder mehreren der Anspruche 1 bis 
6, dadurch gekennzeichnet, dass weitere Systemdienste 
(1), wie "Fremdsoftware" (CWS) , "Lenkungsf unktionen" 
(Lenk) , etc. in das Gesamtsystem integriert werden. 

Verfahren nach einem oder mehreren der Anspruche 1 bis 
1 , dadurch gekennzeichnet , dass bei einem Gesamt- 
regelungssystem fur Kraf tf ahrzeuge in der Betriebar- 
tensteuerung (3) zumindest zwischen den Betriebsarten 
"Normalbetrieb", der sich nach Beendigung der Startpha- 
se beim Ausbleiben einer Fehlermeldung einstellt, der 
Betriebsart "Startphase" , die z.B. bis zum Ablauf einer 
vorgegebenen Zeitspanne, bis zum erstmaligem Erreichen 
einer Mindestgeschwindigkeit und/oder bis zum Abschluss 
von anfanglichen Prufroutinen gilt, der Betriebsart 
"Diagnose", der Betriebsart "Fremdsoftware", die bei 
einer Aktuatorzugrif f sanf orderung durch ein Fremd- oder 
Hilfssystem ausgelost wird, und der Betriebsart "Fail- 
safe", die auf das Vorliegen einer Fehlermeldung hin- 
weist, unterschieden wird. 
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Verfahren zum Vermeiden von fehlerhaf ten Aktuatorzugrif f en 
in einem multifunktionalen elektronischen Gesamtregelungs- 
system 

Zusainmenf assung 

Bei einem Verfahren zum Vermeiden von fehlerhaften Aktuator 
zugriffen in einem multifunktionalen elektronischen Gesamt- 
regelungssystem, bei dem die Aktuatorzugrif fsanforderungen 
von verschiedenartigen Systemdiensten (1) ausgehen, wird in 
das Gesamtregelungssystem eine Rechteverwaltung (2), die di 
Berechtigung von Aktuatorzugrif fsanforderungen feststellt, 
eine Betriebsartensteuerung (4) und eine Zugrif f sverwaltung 
(6) integriert. Die Rechteverwaltung (2) fuhrt bei einer 
Zugrif fsanforderung durch einen Systemdienst (1) unter Be- 
rucksichtigung der momentanen Betriebsart des Gesamtsystems 
eine Einstellung oder einen Wechsel der Betriebsart nach 
vorgegebenen Regeln herbei und meldet die aktuelle Betriebs 
art der Zugrif f sverwaltung (6) . Von der Zugrif f sverwaltung 
(5) werden in Abhangigkeit von der gemeldeten Gesamtbe- 
triebsart eine Aktuatorbetat igung durch den "berecht igten" 
Systemdienst (1) zugelassen und die Aktuatorzugrif fsanforde- 
rungen der Systemdienste (1) nach vorgegebenen Arbitrations- 
regeln verarbeitet. 



(Fig. 1) 



